現役ペンテスト技術者が選ぶ使えるセキュリティツール(27)　「MSN Messengerのプロトコルをキャプチャする　−MSN Protocol Analyzer」

　このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◆名称： MSN Protocol Analyzer
◆配布制限：フリーウェア
◆商用版の有無：無
◆類似ツール： IMMonitor Yahoo Messenger Spy
◆DL URL： http://nextsecurity.softahead.com/software/MSN_Protocol_Analyzer.html
◆対応OS： Windows系OS
◆分野：パケットモニタリング
◆コマンド一覧：

(1) 基本項目と概要

　「MSN Protocol Analyzer」（以下、MPA）は、前回まで紹介したパケットモニタリング系ツールとは少し異なった、プロトコル特化系のツールである。ツールの名称を見ていただければ分かる通り、MSN Messengerのプロトコルをキャプチャし内容を表示するものである。

　当然ながら、以前に紹介した「tcpdump」や「Wireshark」においてもMSN Messengerのプロトコルをキャプチャすることは可能であるが、日本語（2バイト文字）で会話するチャットの場合、決定的に違う点がある。勘のいい読者の方なら、もうお気づきかと思うが、決定的に違うのは、自身でデコードすることなく日本語表示が可能であるという点である。

(2)コマンドサンプル

　それでは早速、使用方法に移ろう。

　といっても、以前に紹介したパケットモニタリングのツールと違い、MPAは、プロトコル特化しているツールであるため、非常に簡単に、そして手軽に使用することができる。

　起動後は、パケットのキャプチャ設定を行うのだが、その前に、一つ注意がある。

　MPAを起動すると始めに以下のようなメッセージボックスが表示される。

図1：
https://www.netsecurity.ne.jp/images/article/alexa_msg_box.jpg

　これは「Alexa Toolbar」のインストールを促しているのだが、必要ないので「いいえ」を選択すると、MPAが終了してしまうため、「はい」を選択せざるを得ない。「はい」を選択すると「Alexa」のサイトをブラウザが表示することになるのだが、インストールを拒否することもできるので、拒否してしまって問題ないだろう。（Firefox環境で確認）

　それでは、パケットをキャプチャするNIC（Network Interface Card）の選択を行おう。NICの選択を行うには、ツールバーの「OPTION」をクリックし、「Option」ウインドウから、キャプチャを行いたいNICを選択し、「OK」で閉じる。これで設定は完了である。

図2：
https://www.netsecurity.ne.jp/images/article/mpa_options_button.jpg

図3：
https://www.netsecurity.ne.jp/images/article/mpa_options_windows.jpg

　設定が完了したら、ツールバーの「Start」ボタンをクリックする。（この際に再度、「Alexa Toolbar」もメッセージが表示されるが、前述した通り拒否して構わない。）これでキャプチャが開始され、MSN Messengerのプロトコルを受信したら、ウィンドウにパケットの内容が表示される。

　キャプチャされたパケットは下図のように表示される。

図4：
https://www.netsecurity.ne.jp/images/article/mpa_capture.jpg

　上図のようなキャプチャされたパケットの中身を確認するには、キャプチャされたパケットを選択すればよい。それにより、メインウインドウ下部に表示させることができる。

　発言内容を表示させたい場合は、キャプチャしたパケットの「Cmd」の部分が「MSG」となっているものを確認すればよい。

図5：
https://www.netsecurity.ne.jp/images/article/mpa_capture_msg.jpg

　表示は、下図のようになる。

図6：
https://www.netsecurity.ne.jp/images/article/mpa_msg_view.jpg

(3)使用例とTIPS、検査者の視点から

　いかに簡単にMSN Messengerの会話内容が筒抜けになるかということが分かっていただけただろうか。パケットを知り、その内容を見ることで様々なことが明らかになるのである。

　普段、コンピュータでネットワークを利用していても、ネットワークを流れるパケットはおろか、自身が送出しているパケットを意識することはないだろう。しかし、それを逆手に取ることで様々な情報を収集する手段があることを忘れてはいけない。

　殆どのパケットは、暗号化されずに送受信されている。言い換えれば…

【執筆：NTTデータ・セキュリティ株式会社辻伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ使えるセキュリティツール(22)
「パケットモニタリングツールの王道　−tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
現役ペンテスト技術者が選ぶ使えるセキュリティツール(23)
ただのパケットモニタリングツールではない　−Wireshark(1)
https://www.netsecurity.ne.jp/3_11940.html
現役ペンテスト技術者が選ぶ使えるセキュリティツール(24)
ただのパケットモニタリングツールではない　−Wireshark(2)
https://www.netsecurity.ne.jp/3_11982.html
現役ペンテスト技術者が選ぶ使えるセキュリティツール(25)
ただのパケットモニタリングツールではない　−Wireshark(3)
https://www.netsecurity.ne.jp/3_12038.html
現役ペンテスト技術者が選ぶ使えるセキュリティツール(26)
「パスワードをリカバリーする　−Cain & Abel」
https://www.netsecurity.ne.jp/3_12196.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw